Tout traitement de données personnelles doit être conforme à la loi Informatique et libertés, ce qui comprend (sauf exceptions très limitées) une déclaration auprès de la Cnil.

Dans une décision récente, la Cour de cassation a considéré que la vente d’un fichier clients non déclaré à la Cnil était frappée de nullité, puisqu’elle portait sur un objet illicite. Lorsqu’un fichier clients est transféré dans le cadre d’une cession de fonds de commerce, ce risque de nullité pourrait-il s’étendre à la cession toute entière ?

"Data is the new oil". Ce slogan, popularisé par le chercheur Andreas Weigend⁽¹⁾, est-il enfin devenu une réalité pour les juges français ?

Une première décision importante en la matière

La Cour de cassation semble désormais reconnaître la valeur des données personnelles, à tout le moins lorsqu’il s’agit d’informations relatives à la clientèle, comme en témoigne un arrêt récent publié au bulletin (Cass. Com., 25 juin 2013, n° 12-17.037).

Pour mémoire, la loi Informatique et libertés s’applique en effet à tout traitement de données qui permettent d’identifier, directement ou indirectement, une personne physique. Il en est ainsi, par exemple, des coordonnées des interlocuteurs chez les entreprises clientes. Ainsi, l’adresse email "paul.dupont@societe.fr" constitue une donnée personnelle, même s’il s’agit d’un contact client professionnel. Seules des coordonnées non nominatives (par exemple : service-achats@societe.fr) ne sont effectivement pas concernées par cette réglementation.

En substance, la chambre commerciale retient que, conformément à la loi Informatique et libertés, tout fichier rassemblant des données personnelles doit faire l’objet d’une déclaration auprès de la Cnil (Commission Nationale de l’Informatique et des Libertés), sous peine de sanctions pénales. 

La Cour fonde ensuite son argumentation sur l’article 1128 du Code civil, aux termes duquel seules les choses dans le commerce peuvent faire l’objet de conventions. Ainsi, un fichier clients non déclaré (en l’espèce le portefeuille clientèle informatisé d’un négociant en vins pour les particuliers) "n’était pas dans le commerce et "avait un objet illicite".

La vente de ce fichier clients non déclaré est par conséquent nulle, conclut la Cour.

La Cour de cassation au soutien de la CNIL

On sait que, depuis plusieurs mois, la Cnil s’efforce de rendre plus visibles, sinon plus efficaces, ses moyens de rétorsion en cas de violation de la loi Informatique et libertés. D’où ses actions récentes à l’encontre d’acteurs économiques majeurs bien connus des Français, tous secteurs et industries confondus. Dans les six derniers mois, Google, le PSG, le service de paiement en ligne PayPal, un centre commercial E. Leclerc ou encore BNP Paribas, pour ne citer que quelques exemples, ont fait l’objet d’une procédure et d’une publication à cet égard sur le site de la Cnil, notamment pour des faits impliquant le traitement de données relatives à leur clientèle.

La Cnil reçoit ici le soutien de la Cour de cassation dans cette démarche, cette décision récente venant renforcer les sanctions prévues par la loi Informatique et libertés et le Code pénal. On peut estimer qu’une entreprise sera davantage incitée à se mettre en conformité s’il existe un risque qu’un actif aussi stratégique que son fichier clients se trouve amoindri dans sa valeur, du seul fait d’une non-déclaration auprès de la Cnil.

Quid de l’information des clients et de leur consentement à la mise à disposition de leurs données au profit d’un tiers ?

Toutefois, à la lecture de cette décision, l’un des grands absents demeure le droit fondamental des personnes à être informées du traitement de données envisagé. La loi Informatique et libertés oblige en effet le responsable de traitement à divulguer certaines informations aux individus dont les données sont traitées, notamment quant à la finalité du traitement, aux destinataires des données et aux droits dont ils bénéficient (accès, rectification de leurs données). En outre, si le fichier clients est destiné à être utilisé par des partenaires à des fins de prospection commerciale, le consentement exprès des clients est également requis à cet égard.

Dans le cas qui nous occupe, la licéité de la cession du fichier clients reposerait également sur l’information des clients en temps utile – c’est-à-dire dans un délai leur permettant de s’y opposer – concernant la cession de leurs données personnelles au profit de l’acquéreur.

Ce grief n’avait pas été soutenu par le demandeur, sans doute parce que ce dernier estimait qu’il lui appartenait, en tant que nouveau détenteur du fichier et désormais responsable de traitement, d’informer lui-même les clients. Néanmoins, cette information a posteriori ne saurait constituer une régularisation des errements du passé. La collecte de données demeure déloyale ; potentiellement, le fichier clients ne pourrait pas être exploité licitement par l’acquéreur si les clients n’ont pas reçu l’information requise avant la cession.

Quel impact sur la validité d’une cession de fonds de commerce ?

Par ailleurs, l’on pouvait attendre davantage de cet arrêt, qui ne statue pas sur la demande de requalification de la vente du fichier clients en véritable cession de fonds de commerce. La Cour aurait pu clarifier sa position. A notre sens, la cession d’un fichier clients ne s’analyse pas nécessairement comme une cession de fonds de commerce, notamment lorsque l’acquéreur souhaite utiliser ces données dans un autre contexte et que cette cession n’affecte pas l’exercice de l’activité du cédant. En tout état de cause, la cession d’un fonds de commerce recouvre un ensemble plus large que la simple remise d’un fichier clients. La clientèle existe et est transférée quand bien même le support de remise des données clients se trouverait frappé d’illicéité. Le fichier clients est un élément parmi d’autres, un "instantané" qui photographie et identifie certains clients du fonds cédé. La valeur du fonds ne se résume pas au fichier mais dépend d’autres éléments (marque, emplacement, produits, éventuels contrats, réputation…) qui confèrent à l’acquéreur la capacité de capter d’autres clients que ceux existant à la date de la cession. En d’autres termes, un fonds de commerce n’est pas un ensemble figé, fini et constant tel que présenté par le fichier, c’est aussi une capacité de renouvellement et de développement de l’actif essentiel que constitue la clientèle.

La Cour de cassation, saisie de ce grief particulier, ne se prononce pas sur cette problématique de la cession du fonds de commerce, pourtant essentielle.

En tout état de cause, il apparaît extrêmement difficile, dans le cadre d’une cession de fonds de commerce à l’occasion de laquelle un fichier de données personnelles est transmis, de se conformer à la lettre du texte. En effet, l’impératif de confidentialité afférent à toute opération de cession pendant la phase de négociation et quasiment jusqu’à la signature (ou, le cas échéant, la consultation du comité d’entreprise) fait en pratique obstacle au suivi des règles d’information qui s’imposent en cas de cession d’un fichier comportant des données nominatives.

Comment se prémunir

Pour le vendeur, la nullité de la vente d’un portefeuille clients informatisé constitue un risque important, alors que les démarches à effectuer auprès de la CNIL sont assez simples. Pour certaines sociétés dont la relation client est standard, il suffit de procéder à une déclaration de conformité à la norme simplifiée n°48 portant sur la gestion des clients et prospects, telle qu’édictée par la CNIL. Toutefois, une analyse précise du traitement envisagé doit être menée avant de recourir à cette procédure simplifiée : si le traitement s’avère un peu plus complexe et ne répond pas aux critères de cette norme, une déclaration normale doit être effectuée. Excepté lorsque le traitement est extrêmement spécifique, ces formalités (ainsi que la démarche d’information des clients) peuvent être réalisées rapidement.

Pour l’acquéreur, dans le cadre de l’acquisition d’une société par exemple, il faut veiller à obtenir du vendeur une garantie complète sur la gestion des fichiers et plus largement sur la conformité de l’entreprise cédée à la loi Informatique et libertés. Dans le cas particulier d’une cession de fonds de commerce, une garantie plus spécifique pourrait être exigée sur la réalisation de l’ensemble des déclarations et autres formalités auprès de la CNIL, le caractère loyal de la collecte des données (y compris l’information des personnes) et la pertinence ainsi que la licéité des informations obtenues.

Alexandre Le Péru, avocat et Frédéric Cohen, avocat associé au sein du cabinet Courtois Lebel

⁽¹⁾ www.weigend.com